Acceso usuarios
Guillem Izquierdo Grau
El presente trabajo aborda la conexión entre el Reglamento (UE) 2024/2847, sobre ciberseguridad de los productos con elementos digitales (RCR) y la Directiva (UE) 2024/2853, sobre responsabilidad por daños causados por productos defectuosos (DRP). La digitalización e interconexión de los productos con elementos digitales ha propiciado que estos productos sean vulnerables frente ataques malintencionados de terceros que tienen lugar en el ciberespacio. El RCR trata de garantizar, ex ante, la conformidad de los productos con elementos digitales cuando se introducen en el mercado o son puestos en servicio, además de imponer obligaciones, ex post, a los fabricantes de velar por la ciberseguridad del producto durante el periodo de soporte. Por su parte, la DRP regula la responsabilidad de los fabricantes por daños causados por sus productos. Ambas regulaciones presentan algunas interconexiones en materia de vulnerabilidades de ciberseguridad de los productos que son tratadas en este trabajo.
Como conclusiones más relevantes se destaca la desarmonía entre el periodo de soporte de cinco años del art. 13.8 RCR y el plazo de caducidad de las acciones de diez años del art. 17 DRP; la posible aplicación de la excepción de responsabilidad por los riesgos del desarrollo a las vulnerabilidades de ciberseguridad; una lectura en clave de ciberseguridad de la causa de defectuosidad del art. 7.2.d) DRP sobre el efecto razonablemente previsible de la interconexión de productos y la no concurrencia de la causa de defectuosidad del art. 7.2.f) DRP cuando el producto con elementos digitales cumpla los requisitos esenciales de ciberseguridad del anexo I, parte I RCR, a pesar de poder estar afectado de vulnerabilidades no conocidas cuando se introduce en el mercado.
